Flash Playerが脆弱性修正のアップデート、Firefox狙う標的型攻撃に悪用

 米Adobe Systemsは26日、Flash Playerのセキュリティアップデートを公開した。強制終了を引き起こし、攻撃者にシステムを乗っ取られる恐れのある脆弱性を修正したとしており、ユーザーに対して最新バージョンへのアップデートを推奨している。

 「Flash Player 11.x」系列の最新バージョンは、Windows版/Mac版が「11.6.602.171」、Linux版が「11.2.202.273」となっている。

 また、1つ前の「Flash Player 10.x」系列についても、脆弱性を修正したバージョン「10.3.183.67」のWindows版/Mac版/Linux版が用意されている。

 Flash Playerをブラウザーと統合して提供しているWindows版/Mac版/Linux版のGoogle ChromeとWindows 8のInternet Explorer 10においても、それぞれブラウザーが最新バージョンにアップデートされることでFlash Playerも最新バージョンの「11.6.602.171」にアップデートされる。

 今回のセキュリティアップデートで修正した脆弱性は、「CVE-2013-0504」「CVE-2013-0643」「CVE-2013-0648」の3件。このうち、「CVE-2013-0643」「CVE-2013-0648」の2件については、すでに標的型攻撃で悪用されていることが分かっているという。悪意のあるFlash(SWF)コンテンツを仕込んだウェブサイトへのリンクをユーザーにクリックさせるもので、Firefoxをターゲットにしていたとしている。

 なお、脆弱性の危険度は、4段階中で最も高い"Critical"とのレーティングだ。また、アップデートを適用する優先度については、Windows版/Mac版が3段階中で最も高い"Priority 1"となっている。"Priority 1"のアップデートは、「現在攻撃の対象となっている脆弱性、または攻撃対象になるリスクが比較的に高い脆弱性」を修正するもので、「直ちに(例えば72時間以内)適用すること」が推奨されている。Linux版は一番下の"Priority 3"。「過去に攻撃者の標的になったことのない脆弱性」を解決するもので、「システム管理者が判断したタイミングで適用すること」を推奨している。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20130227_589572.html